멀웨어의 실행파일 숨기기 위해 가상화 기술 활용...분석도 어렵게 만들어

요약 : IT 외신 블리핑컴퓨터에 의하면 최근 새로운 멀버타이징 캠페인이 적발됐다고 한다. 캠페인이 진행되고 있는 곳은 구글 애즈(Google Ads) 플랫폼이고, 공격자들이 KoiVM이라는 가상화 기술을 활용하고 있다는 것이 독특한 점이다. 가상화 기술로 폼북(Formbook)이라는 유명 데이터 탈취 멀웨어를 들키지 않고 설치하는 것이 이번 캠페인의 궁극적 목적이다. 가상화 기술을 사용할 경우 실행파일들에 난독화 처리가 들어가 읽는 것이 어려워진다.


배경 : KoiVM은 컨퓨저엑스(ConfuserEx)의 플러그인 중 하나다. 연산 코드를 보이지 않게 처리함으로써 가상기계만 이해할 수 있도록 만드는 기능을 가지고 있다. 구글 애즈는 최근 각종 피싱 캠페인에 악용되고 있다. 광고를 진행하면 특정 검색어에 대한 결과 목록에서 상위에 위치할 수 있게 되는데, 공격자들은 이를 통해 피해자들을 자신들이 만든 사이트로 유입시킨다.

말말말 : “가상화 처리가 된 코드는, 가상기계가 런타임에 코드를 해석해 실행시킵니다. 그러므로 멀웨어에 대한 탐지와 분석이 매우 어렵습니다.” -센티넬원(SentinelOne)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>